TD接入安全性策略

RNC接入安全策略
一、目前RNC接入的现状分析
如上图中粗框区域所示，RNC的OMM服务器通过三层交换机接入移动IP承载网。

客户端则可以通过IP承载网接入所有的OMM服务器。

这种方案的特点与优势：
1、RNC通过内部交换机和OMM服务器进行通信，避免直接和IP承
载网相连。

这样可以有效阻断病毒通过IP承载网入侵RNC，大大提高RNC系统的安全性。

2、OMM服务器通过三层交换机与IP承载网相连，如果配置相应的
大网IP与路由，可以使省网管通过OMM服务器方便的监控RNC 的运行状态。

一旦RNC出现重要告警，省网管系统可以迅速做出响应并在第一时间部署人员处理故障。

3、客户端可以通过IP承载网访问OMM服务器。

这样做的好处有很
多，在开通期可以减少人员进出机房的频率，有效防止人为操
作事故的可能性发生；在维护期可以大大提高维护单位作业的
灵活性，实现远程实时监控，迅速响应故障并作出及时处理。

当然，这种接入方案也存在一些弊端：
1、OMM服务器的操作系统为WINDOWS。

虽然版本为WINDOWS 2003
SERVER，安全性相比WINDOWS XP已经提高了不少，但是相比起
基于UNIX的操作系统来说，仍然有很多漏洞，容易遭到病毒攻
击。

特别是接入IP承载网以后，遭到病毒攻击的可能性大大增
加了。

2、客户端通过IP承载网访问OMM服务器，数量比较多，地点比较
分散，容易造成账户混乱的情况。

如果对操作账户的权限和分
级管理不善，多个客户端使用同一个账户进行操作，一旦出现
误操作，很难去查相关责任人与客户端，对维护工作造成很大
麻烦。

二、RNC接入与2G网络BSC接入的对比
1. BSC的网管服务器使用的是solaris操作系统和liunx操作
系统，感染病毒的几率较windows小很多。

较之2G的情况，RNC的网管服务器目前大部分采用的是Windows 系统，还未全部采用更加安全的操作系统，但是后续的目标就是所有网元都采用基于UNIX的操作系统。

2. BSC网管服务器提供数据库视图给上级网管进行性能数据以及配置数据的提取。

告警通过网管服务器提供的实时消息接口上报上级网管。

目前RNC的接入还未完全开放数据库，只是开放了北向接口供上级网管接入并采集数据。

3. BSC上级网管告警部分提供实时告警接口，其接口结构如图
所示。

上级网管作为服务器在指定端口监听OMC连接请求，OMC主动向上级网管建链。

当通信链路建立后，本地网管将收集的网元告警（清除）信息以字符流的形式发送给上级网管。

上级网管不对收到的消息进行确认。

当通信链路出现故障时，OMC本地网管能保存发送失败的告警（清除）消息，在链路恢复后再实时发送给上级网管。

此外，支持上级网管要求OMC本地网管重发指定时段的告警的功能。

告警方面目前RNC接入的状况与BSC相似。

4. 性能数据及配置数据，提供DB接口给上级网管。

接口结构与上图类似，将“消息接口”更改为DB接口即可。

上级网管通过DB接口从OMC采集性能和配置数据。

上级网管以设定用户登录sqlplus，使用sql语句依照协商好的接口表应答说明进行查询。

性能数据采集方面RNC与2G的BSC有区别，由于数据库接口尚未开放，上级网管是通过北向接口来取性能数据。

三、RNC接入服务器的安全功能与配置
一般来说，RNC不直接接入网络，其接入功能都是通过服务器来完成的，这样就对服务器的安全功能和配置有比较高的要求。

1、账号口令的基本管理功能（分级权限、复杂度、复杂度强制检
查、定期更改、不得固化在程序中、存储和传输过程中加密）。

2、日志审计管理功能（支持记录重要系统日志与操作日志信息，
支持接入中国移动集中日志审计系统进行管理），以及实现该功
能的方案。

3、对《中国移动设备通用安全功能和配置规范》及相应的操作系
统、数据库、路由器的安全配置规范的满足情况。

四、接入安全性策略
1、本工程所提供的IT设备在接入网络前，已经安装操作系统、应
用软件已经发布的所有安全补丁，无重大安全漏洞、后门或者
感染病毒。

2、在工程实施前，针对所提供的设备和应用，应明确提供以下信
息，包括：
●系统的合法进程、进程用途、进程占用的端口、进程所需开放
的服务等；
●列出所有的应用系统如数据库、应用进程所使用的账号、权限、
口令情况。

3、系统入网前，必须针对设备的操作系统进行权限最小化和安全
的最优配置，关闭业务无关端口，无关进程和服务。

4、开通设备时需注意：
●全面的测试流程，在开发和测试的时候，对各类情况进行严格
的测试，保站各类业务和进程都运行正常，没有冲突。

并制作
规范的开通文档。

●现场严格的安装规范流程进行设备开通，保障开通过程中不安
装与系统无关的程序，保证现场与产品测试环境一致。

●现场开通时采用默认配置均为最小、最优、最安全配置，保障
设备开通正常。

即使开通其它业务，也已经通过测试，完全可
以保证进程、服务、业务正常。

5、工程实施期间定期跟踪和检查所提供设备，保证在工程实施期
间不会出现重大安全漏洞、后门或者病毒感染。

包括：
●正版杀毒软件和防火墙保护，及时更新，避免安全漏洞。

●工程实施中，通过现场巡检，组织专家对现场设备进行定期全
面检查，避免安全漏洞。

●工程实施过程中，建立了完善和及时的故障反馈和处理流程，
第一时间避免重大安全漏洞。

6、与现场版本一致的实验环境，对所提供设备的安全补丁升级、
产品的重大安全漏洞修补或者软件重大更改，在规定的有效期内进行兼容性测试、提供测试结果，并进行补丁安装。

在合同有效期内，须保留与现场版本一致的独立试验环境，对现场环境进行测试，对设备各类漏洞等进行采用修补、升级及全面的测
试，并安全的完成现场的修补、升级等操作。

7、对Windows主机提供接入主流防病毒系统进行安全防护。

安装
正版杀毒软件和防火墙保护，及时更新，避免安全漏洞。

五、目前RNC接入的安全性评估以及改进方案
1、防护方式：
目前所有RNC服务器都安装了趋势科技的防毒软件，作为世界一线的防病毒产品，趋势软件完全可以承担病毒防火墙的角色。

但是任何一款防毒软件都无法做到对病毒的完全防护，需要定期更新病毒库来增强软件的防病毒能力。

目前RNC服务器防毒软件的更新采取的是维护人员手动更新的方式，即维护人员将最新的病毒库更新文件上传到RNC服务器上，然后对服务器上的防毒软件进行病毒库的更新。

【评估】
这种方法的缺陷有两个：其一，与软件自动更新病毒库相比，手动更新的时效性比较差，如果某个新病毒没有被及时更新，那么这个病毒破坏系统的可能性就非常高了，一旦病毒在软件更新前肆虐，后果将不堪设想；其二，手动更新需要耗费相关的人力，与自动更新无需额外的人员相比，手动更新这种方式显然不是最佳选择。

【改进方案】
在IP承载网内布置一台机器作为趋势防毒软件的服务器端，其与互联网相连，自动更新病毒库。

然后设置所有的RNC服务器作为这台
机器的客户端。

2、接入方式
目前采用所有网元的网管服务器都接入IP承载网，包括OMM和OMCR。

根据省网管统一规划的IP以及路由，所有网元都可以路由到其他网元。

【评估】
对于OMCR来说，这种接入方式没有任何问题，因为OMCR采用的是基于UNIX的Solaris操作系统，这种操作系统的安全性非常高。

通过Solaris Containers技术、Solaris Process Rights Management （Solaris 处理权管理）、以及加密架构，应用程序可充分利用硬件加密，从而在Solaris平台上获得无与伦比的安全性。

通常情况下该操作系统不安装防毒软件也可以对病毒有非常好的抵抗力。

但对于OMM来说，这种接入方式是有风险的。

由于OMM安装的是Windows操作系统，即便安装了防毒软件，一旦局域网病毒开始传播，OMM系统就会有被感染的风险。

【改进方案】
OMCR可以通过IP承载网对OMM进行网元管理，而OMCR的接入安全性远远大于OMM的接入安全性，接入方案可以采用通过OMCR来接入OMM。

具体操作方式：将OMM远程登录权限关闭，限制用户直接通过IP 承载网远程登录OMM服务器。

用户通过OMCR的客户端，登录OMCR以后，根据OMM的IP在OMCR上创建OMM的网元。

如果该OMM网元与
OMCR的通讯正常，那么可以直接在OMCR客户端上对下挂的OMM网元进行管理。

该方案以OMCR服务器为接入点，利用SOLARIS系统的安全性，可以大大降低OMM系统被病毒感染的可能。

该方案对网络带宽有较高要求，需要按照以下带宽需求来配置。

带宽需求
公式：一个RNC需要的带宽 = MAX(1M，小区数量*0.5K）Bps 通讯带宽 = 256KBps*客户端数量 + 单个RNC需要的最大带宽按照目前大容量RNC（PS走IP）标配为720个小区，通讯带宽可按照以下公式计算：
256KBps×客户端数量 + 720×0.5KBps
3、权限管理
RNC接入时需要注意用户权限的问题。

在工程开通期间为了提高效率，一般不设置多帐号，所有用户均通过admin帐号进行接入，拥有超级管理员的全部权限。

从工程阶段过渡到维护阶段后，网络对安全性的需求大大增加，这时如果还采用单用户接入管理的话就会面临很多风险。

【评估】
风险1：用户A通过admin帐号进入后进行了危险操作，并最终导致RNC系统故障。

但是由于所有用户都知道该帐号的密码，无法定位操作责任人。

风险2：用户A只需要进行一些现网资源的查询，由于只有admin
帐号，A登录后执行查询命令时有一个误操作，对RNC系统进行了一些修改，这些修改可能会对其他用户以后的操作造成影响。

【改进方案】
为不同的用户创建不同权限的帐号。

假设A只需要进行一些现网资源的查询，B需要对RNC实施配置的修改操作，C只需要运行命令终端。

可以为A创建只有查询权限的帐号，为B创建可以修改配置的帐号，为C创建只有执行命令终端页面权限的帐号。

每个帐号只有各自的责任人知道密码，其他任何人无法使用该帐号。